168750

Wurm verbreitet sich über MSN Messenger

21.08.2001 | 11:00 Uhr |

Das renommierte Antivirenlabor Kaspersky Lab warnt vor einem neuen Wurm namens "Newpic", der den MSN Messenger zur Verbreitung nutzt. Der Schädling ist seit 8. August bekannt, die ersten Infektionen wurden jedoch erst am vergangenen Wochenende bekannt.

Das renommierte Antivirenlabor Kaspersky Lab warnt vor einem neuen Wurm namens "Newpic", der den MSN Messenger zur Verbreitung nutzt. Der Schädling ist seit 8. August bekannt, die ersten Infektionen wurden jedoch erst am vergangenen Wochenende bekannt.

Bei "Newpic" alias W32/Choke.b.worm handelt es sich um eine in Visual Basic geschriebene .Exe-Datei von ca. 50 Kilobyte Größe; die Datei trägt den Namen PIC1324.EXE. Die Datei wird als Attachment mit dem MSN Messenger verbreitet. Wird der Wurm auf einem PC ausgeführt, auf dem der MSN Messenger nicht installiert ist, wird er zwar installiert, kann sich aber nicht verbreiten.

Nach dem Start der Datei erscheint auf dem Bildschirm eine Message Box mit einer gefälschten Fehlermeldung:

Der Wurm träg sich anschließend in die Registry ein, so dass er nach jedem Neustart des Rechners ausgeführt wird: HKLM\Software\Microsoft\Windows\CurrentVersion\ Run\MSN Messenger="%WormPath%\PIC1324.exe. Außerdem erzeugt der Wurm eine Datei C:\Messenger1324\Brain\1Read Me.txt mit folgendem Text:

"I come in piece. My name is Jerry. The purpose of me is to spread. I'm not annoying, nor dangerous. How to remove me: 1) Click Start, select Run. The Run dialog box pops up. 2) Type: msconfig The System Configuration Utility pops up. 3) Click the Startup tab at the top. In the list, find MsgSprd, Messenger, or pic1324, uncheck, press Apply, then press Ok. 4) Restart your computer Or press Ctrl - Alt - Del, select MsgSprd from the list, then press End Task. You may freely delete the files or the 'C:\Messenger1324' directory."

Der Wurm verschickt sich an Rechner, die mit dem infizierten PC via MSN Messenger kommunizieren. Er durchsucht alle eingehenden Messenger-Nachrichten auf bestimmte Schlüsselwörter, die er mit einer bestimmten Nachricht beantwortet.

Um einen MSN-Messenger-Benutzer zur Eingabe eines dieser Schlüsselwörter wie zum Beispiel "yes" zu veranlassen, stellt der Wurm gelegentlich folgende Frage "hey, want me to send my new pic? i took it yesterday" Antwortet der Gesprächspartner mit "Yes", versendet sich der Wurm.

Für die USA und Europa sieht Eugene Kaspersky, der Leiter Anti-Virus Research bei Kaspersky Labs, gute Aussichten auf eine Verbreitung des Wurms.

Weitere Aliasnamen sind I-Worm.Newpic, TROJ_NEWPIC.A, W32.Annoying.Worm, Win32.Annoying, Worm.JerryMsg.A.

"Newpic" ist nicht der erste Wurm, der sich über den MSN Messenger verbreitet, ein ähnlicher ist bereits vor einiger Zeit aufgetreten: W32/Choke

Wurm verbreitet sich über MSN Instant Messenger (PC-WELT Online, 03.08.2001)

PC-WELT Virenlexikon

0 Kommentare zu diesem Artikel
168750